Unidad 1
Unidad 1
Unidad 1
Título de la Actividad:
Investigación
Correspondiente a la asignatura:
Seguridad de la Información
Unidad I:
Grado y Grupo:
10 “B”
Periodo:
Entre los activos más importantes de una organización está la información y por
tanto, la custodia de la misma, es un factor relevante para su continuidad y éxito
profesional.
En este sentido, con el fin de minimizar las amenazas y riesgos continuos a los que
está expuesta cualquier organización y a efectos de asegurar la continuidad de
negocio y minimizar los daños, se desarrollan una serie de pasos de aplicación:
La Valoración de los Activos: una vez que la organización tiene identificados sus
activos de información, debe valorarlos. La organización debe evaluar mediante una
serie de parámetros los efectos que pudieran derivar en eventuales fallos de
seguridad.
Introducción a la Seguridad de la Información
Cada día más y más personas mal intencionadas intentan tener acceso a los datos
de nuestros ordenadores.
Disponibilidad
Integridad
Confidencialidad
Por otra parte, determinadas empresas a menudo desarrollan diseños que deben
proteger de sus competidores. La sostenibilidad de la empresa así como su
posicionamiento en el mercado pueden depender de forma directa de la
implementación de estos diseños y, por ese motivo, deben protegerlos mediante
mecanismos de control de acceso que aseguren la confidencialidad de esas
informaciones.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y
es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado
pueda descifrar la información recibida y en función del tipo de mecanismo de
encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada
mediante herramientas diseñadas para ello. Si se produce esta situación, la
confidencialidad de la operación realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.
Políticas de seguridad
Las políticas deben contener claramente las practicas que serán adoptadas por la
compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas,
periódicamente.
Las políticas deben:
La política de seguridad comprende todas las reglas de seguridad que sigue una
organización (en el sentido general de la palabra). Por lo tanto, la administración de
la organización en cuestión debe encargarse de definirla, ya que afecta a todos los
usuarios del sistema.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y
cubrir las siguientes áreas:
ARP
ARP Poison Routing (APR), es una técnica utilizada para atacar una red cableada
o inalámbrica de Ethernet. ARP Spoofing puede permitir que un atacante detecte
frameworks de datos en una red de área local (LAN), modifique el tráfico o detenga
el tráfico por completo. El ataque solo se puede usar en redes que realmente usan
ARP y no en otro método de resolución de direcciones.
La detección la realizamos mediante ARP inverso (RARP) que es un protocolo
utilizado para consultar la dirección IP asociada con una dirección MAC dada. Si se
devuelve más de una dirección IP, la clonación MAC está presente.
VLAN
Las VLANs funcionan en el nivel 2 (enlace de datos) del modelo OSI. Sin embargo,
los administradores suelen configurar las VLANs como correspondencia directa de
una red o subred IP, lo que les da apariencia de funcionar en el nivel 3 (red).
STP
Los bucles infinitos ocurren cuando hay rutas alternativas hacia una misma máquina
o segmento de red de destino. Estas rutas alternativas son necesarias para
proporcionar redundancia, ofreciendo una mayor fiabilidad. Si existen varios
enlaces, en el caso que uno falle, otro enlace puede seguir soportando el tráfico de
la red. Los problemas aparecen cuando utilizamos dispositivos de interconexión de
nivel de enlace, como un puente de red o un conmutador de paquetes.
Virus
Troyanos
La criptografía simétrica solo utiliza una clave para cifrar y descifrar el mensaje, que
tiene que conocer el emisor y el receptor previamente y este es el punto débil del
sistema, la comunicación de las claves entre ambos sujetos, ya que resulta más
fácil interceptar una clave que se ha transmitido sin seguridad (diciéndola en alto,
mandándola por correo electrónico u ordinario o haciendo una llamada telefónica).
Criptografía asimétrica
Puede parecer a simple vista un sistema un poco cojo ya que podríamos pensar
que sabiendo la clave pública podríamos deducir la privada, pero este tipo de
sistemas criptográficos usa algoritmos bastante complejos que generan a partir de
la frase de paso (la contraseña) la clave privada y pública que pueden tener
perfectamente un tamaño de 2048bits (probablemente imposible de reventar).
Algoritmos de Criptografía.
DES (DATA ENCRYPTION STANDARD)
Se basa en aplicar el algoritmo DES tres veces, la clave tiene una longitud de 128
bits. Si se cifra el mismo bloque de datos dos veces con dos llaves diferentes (de
64 bits), aumenta el tamaño de la clave. El 3DES parte de una llave de 128 bits, que
es divida en dos llaves, A y B.
Este algoritmo es el más conocido entre los usuarios de routers, ya que WPA opera
con AES como método de cifrado. Este cifrado puede implementar tanto en
sistemas hardware como en software. El sistema criptográfico AES opera con
bloques y claves de longitudes variable, hay AES de 128bits, de 192 bits y de 256
bits.
El resultado intermedio del cifrado constituye una matriz de bytes de cuatro filas por
cuatro columnas. A esta matriz se le vuelve a aplicar una serie de bucles de cifrado
basado en operaciones matemáticas (sustituciones no lineales de bytes,
desplazamiento de filas de la matriz, combinaciones de las columnas mediante
multiplicaciones lógicas y sumas XOR en base a claves intermedias).
Rsa
ISO 27001
ISO 17799
COBIT
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a
proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y
aceptados, para mejorar las prácticas de planeación, control y seguridad de las
Tecnologías de Información. COBIT contribuye a reducir las brechas existentes
entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y
aspectos técnicos propios de un proyecto TIC; proporcionando un Marco
Referencial Lógico para su dirección efectiva.
NIST
Webtrust de AICPA
Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías
permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo
tanto, es fundamental saber qué recursos de la compañía necesitan protección para
así controlar el acceso al sistema y los derechos de los usuarios del sistema de
información. Los mismos procedimientos se aplican cuando se permite el acceso a
la compañía a través de Internet.
https://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica
http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1
https://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-
informatica.shtml
https://www.uv.mx/celulaode/seguridad-info/tema1.html
https://ciberseguridad.blog/25-tipos-de-ataques-informaticos-y-como-prevenirlos/
https://riunet.upv.es/bitstream/handle/10251/15262/SEGURIDAD%20CAPA%202
%20del%20modelo%20OSI.pdf?sequence=1
https://www.genbeta.com/desarrollo/tipos-de-criptografia-simetrica-asimetrica-e-
hibrida
https://mariiss15.wordpress.com/2012/11/14/algoritmos-de-encriptacion-simetrica-
y-asimetrica/
https://es.scribd.com/document/326301511/Algoritmos-Des-3des-Aes-Rsa
https://es.scribd.com/document/242755694/Normatividad-nacional-e-internacional-
de-seguridad-yahaira-docx
https://www.accv.es/webtrust/